Kaspersky-Experten haben die Malware ,MobOk‘ entlarvt. Das perfide: Der Schädling verbarg sich in scheinbar legitimen Apps zur Bildbearbeitung auf Google Play. Zum Zeitpunkt der Entdeckung waren die betroffenen Apps ,Pink Camera‘ und ,Pink Camera 2‘ bereits rund 10.000 Mal installiert worden. Ihr Zweck war es, persönliche Daten der Nutzer abzugreifen und diese dann für die Anmeldung der Opfer bei zahlungspflichtigen Abonnement-Diensten zu verwenden. Betroffene konnten die ungewollten Anmeldungen erst mit der nächsten Gebührenabrechnung ihrer Mobilfunk-Provider entdecken. Google Play hat die Apps inzwischen entfernt.
Bei der Malware MobOk handelt es sich um eine Backdoor, also eine besonders gefährliche Art von Malware, weil Angreifer die infizierten Geräte damit fast vollständig kontrollieren können. Obwohl der auf Google Play hochgeladene Inhalt starken Filterprozessen unterliegt, ist es nicht das erste Mal, dass auf diesem Weg Malware auf die Geräte mobiler Nutzer kommt. Vielfach verstecken sich Backdoors in halbwegs funktionalen Apps, die auf den ersten Blick wie simple, aber unverdächtige Bemühungen zur Erstellung legitimer Apps erscheinen. So erregten auch die Pink-Camera-Apps zunächst keinen Verdacht. Sie boten tatsächlich die Möglichkeit zur Bildbearbeitung und wurden über den vertrauenswürdigen Google Play Store angeboten.
Sobald jedoch Nutzer ihre Bilder mit Hilfe von Pink Camera bearbeiten wollten, verlangten die Apps den Zugriff auf Benachrichtigungen und starteten im Hintergrund ihre schädlichen Aktivitäten. Ziel war es, Nutzer bei bezahlungspflichtigen mobilen Abonnement-Diensten anzumelden. In der Regel handelt es sich dabei um Webseiten, die ihre Dienste gegen eine tägliche Gebühr anbieten, die dann mit der Mobilfunk-Rechnung eingezogen wird. Dieses Bezahlmodell wurde ursprünglich entwickelt, um Kunden die Anmeldung zu gebührenpflichtigen Angeboten zu erleichtern. Inzwischen wird das Modell jedoch gelegentlich auch von Cyberkriminellen missbraucht.
Waren Opfer erst einmal mit MobOk infiziert, sammelte die Malware Geräteinformationen wie die zugehörige Telefonnummer, um diese dann im weiteren Verlauf der Attacke einzusetzen. So schickten die Angreifer Details von Webseiten mit gebührenpflichtigen Abo-Diensten auf die infizierten Geräte. Die Malware agierte dann wie ein geheimer Browser: sie öffnete im Hintergrund die Webseiten, nutzte die zuvor ermittelte Telefonnummer zur Anmeldung beim Abo-Dienst und bestätigte den Kauf. Da sie die komplette Kontrolle über das Gerät besaß, wurden auch Benachrichtigungen abgefangen und der per SMS gesendete Bestätigungscode eingetragen, ohne dass der Anwender dies mitbekam. Ab diesem Zeitpunkt fielen bei den Opfern Kosten an, bis diese endlich auf der Telefonrechnung entdeckt und die Abos wieder abbestellt wurden.
Kaspersky-Produkte erkennen die MobOk-Malware als HEUR:Trojan.AndroidOS.MobOk.a
Kaspersky-Experten raten daher zu folgenden Vorsichtsmaßnahmen zum Schutz vor schadhaften Apps:
- Auch vertrauenswürdige Quellen, wie ein offizieller App-Store, können gefährliche Apps enthalten. Das erfordert eine erhöhte Aufmerksamkeit und die Kontrolle der Rechte, die installierte Apps tatsächlich haben oder einfordern. Hierbei helfen bereits vorhandene Ratings und Bewertungen der Apps. Schadsoftware hat oft schlechte Ratings und Anwender warnen in ihren Bewertungen vor möglichen Malware-Risiken. Wer solche Apps dennoch installieren möchte, sollte ein besonderes Augenmerk auf die Anforderung von Rechten legen.
- Verfügbare Updates für das System und die darauf befindlichen Anwendungen sollten unverzüglich installiert werden, um Schwachstellen zu beseitigen und den Geräteschutz aufrecht zu erhalten.
- Umfassenden Schutz vor einem breiten Gefahrenspektrum bieten verlässliche Schutzlösungen wie etwa Kaspersky Security Cloud.